- Rubrique
69k Popularité
25k Popularité
7k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
- Épingler
69k Popularité
25k Popularité
7k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
Web3 : Dévoilement des principes de phishing par signature : Analyse complète de la logique sous-jacente et des mesures de prévention
Les principes sous-jacents de la pêche à la signature Web3 et les mesures de prévention
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus couramment utilisées par les pirates Web3. Bien que les experts en sécurité et les entreprises de portefeuilles continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. Une des raisons importantes de cette situation est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et qu'il y a une forte barrière à l'apprentissage pour les personnes non techniques.
Pour aider davantage de personnes à comprendre ce problème, cet article va expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Les deux types de base d'opérations de portefeuille
Lors de l'utilisation d'un portefeuille de cryptomonnaie, nous avons principalement deux types d'opérations : "signature" et "interaction".
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou à une DApp. Ce processus ne modifie aucune donnée ou état sur la blockchain, donc aucun frais n'est nécessaire.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lorsque vous échangez des tokens sur un DEX, vous devez d'abord autoriser le smart contract à utiliser vos tokens (approve), puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent de payer des frais de Gas.
Méthodes de phishing courantes
1. Phishing autorisé
C'est une méthode de phishing traditionnelle dans le Web3. Les hackers créent généralement un site web déguisé en projet légitime, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, après avoir cliqué, les utilisateurs seront invités à approuver l'adresse du hacker pour utiliser leurs jetons.
Bien que cette méthode nécessite de payer des frais de Gas, il y a encore des utilisateurs qui se laisseront prendre.
2. Permis de signature de phishing
Permit est une fonctionnalité d'extension de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour utiliser leurs jetons par le biais d'une signature. Contrairement à l'autorisation traditionnelle, Permit ne nécessite pas que l'utilisateur paie des frais de Gas.
Les hackers peuvent exploiter ce mécanisme pour inciter les utilisateurs à signer un message apparemment inoffensif, qui en réalité autorise les hackers à utiliser le Permit des tokens de l'utilisateur.
3. Phishing par signature Permit2
Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs et à économiser les frais de Gas. Les utilisateurs peuvent autoriser une grande somme une seule fois au contrat intelligent Permit2, puis pour chaque transaction, il leur suffit de signer, les frais de Gas étant payés par le contrat (déduits des jetons échangés en fin de transaction).
Cependant, cela offre également aux hackers de nouvelles voies d'attaque. Si un utilisateur a déjà utilisé ce DEX et a autorisé un montant illimité au contrat Permit2, les hackers peuvent transférer les jetons de l'utilisateur en les incitant à signer.
Mesures de prévention
Améliorer la sensibilisation à la sécurité : chaque fois que vous effectuez une opération de portefeuille, veillez à vérifier attentivement l'opération spécifique que vous êtes en train d'exécuter.
Séparation des fonds : séparez les gros montants des fonds utilisés quotidiennement pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2 : lorsque vous voyez une demande de signature contenant les informations suivantes, soyez particulièrement vigilant :
En comprenant ces mécanismes sous-jacents et en prenant des mesures préventives appropriées, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de phishing par signature. Dans le monde du Web3, rester vigilant et continuer à apprendre est la clé pour protéger ses actifs.